28.02.2019
Der Cybersecurity Act rückt näher – Welche Konsequenzen gibt es für Unternehmen?
Dr. Jan Scharfenberg
Director Informationssicherheit
Anfang Dezember 2018 haben sich die EU-Kommission, der Rat der EU und das EU-Parlament im Rahmen der sog. Trilogverhandlungen auf die Inhalte des Cybersecurity-Acts geeinigt .
Insbesondere wurde ein Kompetenzzuwachs für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Diese soll in Zukunft auch als Agentur der Europäischen Union für Cybersicherheit tätig werden. Als Agentur kommt ihr vor allem die Aufgabe zu, Bürger und Unternehmen bei der Umsetzung des Cybersecurity Acts zu unterstützen und diese Umsetzung zu koordinieren. Im Rahmen der Trilogverhandlungen wurde beschlossen die Anzahl der Mitarbeiter der ENISA von 84 auf 125 zu verdoppeln. Diese Erhöhung hängt vor allem mit der (neben der allgemeinen Unterstützung und Koordination) zweiten Aufgabe der ENISA in Bezug auf den Cybersecurity Act zusammen. Sie soll ermitteln und konkretisieren, wie die Zertifizierungssysteme für Cybersicherheit konkret ausgestaltet werden sollen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Deutschland und der EU-Cybersecurity-Act
Aus nationaler Perspektive verläuft die Entwicklung eines „IT-Sicherheitsgesetzes 2.0“ in Deutschland aktuell parallel zu den EU-Bemühungen um den Cybersecurity Act. Auch das deutsche Gesetz, das noch in der ersten Jahreshälfte 2019 auf den Weg gebracht werden soll, sieht ein Zertifikationssystem für Produkte und Dienstleistungen vor. Es ist daher von großer Bedeutung, dass Deutschland innerhalb der EU darauf hinwirkt, dass es zu keiner – unübersichtlichen- Doppelung von Zertifikaten kommt, sondern dass die selben Anforderungen für Zertifikate in der EU und Deutschland herrschen. Da die EU aber bereits angekündigt hat mitgliedstaatliche Vorgaben bei der Ausgestaltung des Systems zur Zertifizierung zu berücksichtigen, sind die Weichen für ein solches Vorgehen gestellt. Darüber hinaus stellt sich die Frage, wie mit der aktuell im Rahmen des IT-Sicherheitsgesetzes 2.0 umstrittenen Pflicht zur Meldung für Sicherheitslücken umgegangen werden soll. Innerhalb der deutschen Politik ist umstritten, ob eine umfassende Meldepflicht eingeführt werden soll (so wohl die aktuelle Position des Bundesinnenministers: https://www.golem.de/news/it-sicherheitsgesetz-2-0-wo-ist-das-meldegesetz-fuer-it-sicherheitsluecken-1812-138295.html) oder ob bestimmte Sicherheitslücken verschwiegen werden dürfen, um diese – heimlich – zu schließen oder bewusst offen zu lassen, um Hacker fassen zu können.
Würdigung und Diskussion der beschlossenen Veränderungen
Grundsätzlich bleibt es dabei, dass gerade deutsche Produkte innerhalb Europas bereits ein sehr hohes Sicherheitsniveau aufweisen und daher weniger Umstellungen befürchten müssen, um ein hohes Sicherheitszertifikat zu erhalten. Dies gilt umso mehr, als dass mitgliedstaatliche Vorgaben bei der EU-weiten Zertifizierung berücksichtigt werden sollen. Außerdem kann ein von der EU zertifiziertes Produkt außerhalb der EU als besonders sorgsam geprüft eingeordnet werden, wodurch die Zertifizierung Wettbewerbsvorteile schaffen würde.
Allerdings verlangen bereits einige Verbraucherschützer das Zertifizierungssystem in Richtung einer echten Produkthaftung auszuhaben. Dies hieße insbesondere, dass Hersteller entsprechender Soft- oder Hardware, Router etc. im Falle von Cyberangriffen oder sonstigen Lacks für die entstandenen Schäden haften, ohne dass es im konkreten Einzelfall auf ihr Verschulden ankommt. Dieser Gedanke kann nicht überzeugen. So müsste die Produkthaftung umso höher ausfallen, je sicherer ein Produkt zertifiziert ist, weil gerade in solchen Fällen Verbraucher und Unternehmen mehr Geld investieren und sich auf mehr Sicherheit verlassen, und es einem Grundgedanken der Produkthaftung entspricht, das Vertrauen der Erwerber in die Produkte zu schützen. Damit würden Hersteller besonders sicherer Produkte bestraft.
Lernen Sie unsere Expertise in der Informationssicherheit kennen
Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.
Fazit und Ausblick
Die Trilogverhandlungen haben zu einer Einigkeit bezüglich des dreistufigen Zertifizierungssystems geführt. Zudem sollen die Zertifizierungen anfänglich noch freiwillig bleiben. Allerdings wird die EU-Kommission untersuchen, welchen Effekt freiwillige Zertifizierungsvorgaben auf die Cybersicherheit haben. Es scheint wahrscheinlich, dass die Zertifizierungen ab 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten. Der Erfolg des Zertifizierungssystems steht und fällt mit Transparenz und Effektivität. Es ist daher wünschenswert, dass konkret umsetzbare Vorgaben von der EU entwickelt werden, die das Risiko erfolgreicher Cyberangriffe zu minimeren.
Weitere Neuigkeiten
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern
22.10.2024
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Leitfaden & Checkliste
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
08.10.2024
Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen
- Ein externer Informationssicherheitsbeauftragter (ISB) kann dabei helfen, Bedrohungen zu kontrollieren und Sicherheitsstrategien zu optimieren.
- Er bietet unabhängige Expertise und nimmt vielfältige Aufgaben wahr, um die Einhaltung der Informationssicherheit zu gewährleisten.
- In unserem Beitrag erklären wir, welche Vorteile die Bestellung eines externen ISB hat.
Weiterlesen … Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen